Apache Friends Support Forum

[H.Klingel]

Hallo,

ich werde ein php/mysql-System eintwickeln, dass von vielen Benutzern (ca. 200) gleichzeitig verwendet wird. Diese Benutzer sind alle in einem Intranet verbunden und haben eine feste IP.

Ich habe die Befürchtung, dass ssl das Sytem stark ausbremsen könnte. Deshalb suche ich nach einer Möglichkeit, das System ohne ssl abzusichern. Oder ist ssl gar nicht so leistungsintesiv?

Nun meine Überlegung: Wenn ich in der Session die IP-Adresse des Benutzers speichere und nach jedem session_start() überprüfe, ob die Session ID von dem selben Rechner kommt, von dem sie gesendet wurde, hätte ich doch schon einiges gewonnen, oder?

Zusätzlich plane ich, die Benutzung von Cookies vorzuschreiben, damit die Session ID nicht in der Adresszeile rum turnt.

Vielen Dank im Voraus,
Harald

[KingCrunch]

Ich habe die Befürchtung, dass ssl das Sytem stark ausbremsen könnte. Deshalb suche ich nach einer Möglichkeit, das System ohne ssl abzusichern. Oder ist ssl gar nicht so leistungsintesiv?

Je nachdem nich so leistungsintensiv, wie du befürchtest. Natürlich brauch die Codierung/Decorierung gewisse Ressourcen, eber ich denk, das is je nachdem eher tragbar

Nun meine Überlegung: Wenn ich in der Session die IP-Adresse des Benutzers speichere und nach jedem session_start() überprüfe, ob die Session ID von dem selben Rechner kommt, von dem sie gesendet wurde, hätte ich doch schon einiges gewonnen, oder?

Auf jeden Fall, wobei die statische IP von den Nutzern natürlich auch geändert werden können, wenn sie dazu Rechte haben (sollte nicht vergessen werden). Also "Security"-Geschichte natürlich nur empfehlenswert.

Zusätzlich plane ich, die Benutzung von Cookies vorzuschreiben, damit die Session ID nicht in der Adresszeile rum turnt.

Lässt sich direkt über die PHP.ini automatisieren

[H.Klingel]

Danke für die Hilfe,

ich halte es für durchaus zumutbar, dass sich ein User, wenn er von Hand seine IP ändert, erneut einloggen muss...

Viele Grüße,
Harald